Atas permintaan otoritas AS. Layanan Keamanan Federal (FSB) Rusia telah “melikuidasi” geng ransomware REvil, katanya pada hari Jumat.
Menurut laporan lokal, badan keamanan utama negara itu menggerebek 25 lokasi di Leningrad, Lipetsk, Moskow dan St. Petersburg, menyita aset bernilai lebih dari $5,6 juta (426 juta rubel) dalam berbagai bentuk, termasuk $600.000; €500.000; berbagai jumlah cryptocurrency; dan 20 kendaraan mewah.
The FSB mengatakan bahwa total 14 tersangka penjahat dunia maya juga ditangkap dalam penggerebekan tersebut dan telah didakwa dengan “peredaran alat pembayaran ilegal”. Dinas keamanan juga mengatakan bahwa mereka “menetralisir” infrastruktur geng tersebut.
Dorongan untuk serangan itu dilaporkan merupakan permintaan resmi untuk tindakan dari otoritas AS, “melaporkan tentang pemimpin komunitas kriminal dan keterlibatannya dalam perambahan sumber daya informasi asing perusahaan teknologi tinggi dengan memperkenalkan perangkat lunak berbahaya, mengenkripsi informasi, dan memeras uang untuk dekripsinya,” menurut pernyataan media FSB.
It menambahkan, “Sebagai hasil dari tindakan bersama FSB dan Kementerian Dalam Negeri Rusia, komunitas kriminal terorganisir tidak ada lagi, infrastruktur informasi yang digunakan untuk tujuan kriminal dinetralisir. Perwakilan dari otoritas AS yang kompeten telah diberitahu tentang hasil operasi tersebut.”
Langkah ini dilakukan dua minggu setelah panggilan telepon berisiko tinggi antara Presiden Rusia Vladimir Putin dan Presiden AS Joe Biden, yang telah menyerukan tindakan terhadap warga Rusia. geng ransomware selama berbulan-bulan.
REvil (alias Sodinokibi) pernah naik ke dominasi sebagai perlengkapan utama dalam raket pemerasan ransomware – mengunci jaringan target ikan besar (seperti JBS Foods) dan mengekstrak jutaan pembayaran tebusan. Itu menjadi berita utama tahun lalu dengan serangan rantai pasokan zero-day yang meluas pada pelanggan Kaseya; dan dikaitkan dengan serangan cyber Colonial Pipeline yang terkenal. Semua itu memicu teriakan resmi dari Biden di musim panas, dengan permintaan agar Putin menutup grup ransomware yang bersarang di negaranya.
Tidak lama setelah itu, pada bulan Juli, server REvil secara misterius menjadi gelap dan tetap seperti itu selama dua bulan. Namun pada akhir musim panas, grup tersebut terlahir kembali sebagai pemain ransomware-as-a-service (RaaS), meskipun secara keseluruhan grup tersebut beroperasi di sebagian kecil dari kekuatan sebelumnya dan kehilangan personel kunci. Pembuat kode utamanya, UNKN (alias Tidak Diketahui), misalnya, dikabarkan keluar dari grup. Itu juga mendapat masalah di dunia maya karena memotong afiliasi RaaS dari bagian pembayaran tebusan mereka yang adil.
Chris Morgan, analis intelijen senior ancaman cyber di Digital Shadows, mencatat bahwa tindakan FSB memicu beberapa obrolan di dunia maya tentang REvil menjadi mangsa intrik politik.
“Kemungkinan penangkapan terhadap anggota REvil bermotif politik, dengan Rusia ingin menggunakan peristiwa tersebut sebagai pengaruh; dapat diperdebatkan bahwa ini mungkin terkait dengan sanksi terhadap Rusia yang baru-baru ini diusulkan di AS, atau situasi yang berkembang di perbatasan Ukraina, ”katanya. “Obrolan di forum cybercriminal Rusia mengidentifikasi sentimen ini.”
Dia mengatakan bahwa satu pengguna menyarankan bahwa anggota REvil adalah “pion dalam permainan politik besar,” sementara pengguna lain menyarankan agar Rusia melakukan penangkapan “dengan sengaja” sehingga Amerika Serikat akan “ tenang.”
REvil Takedown: Will it Matter?
Pencabutan yang dilaporkan mungkin telah mencemarkan nama baik operator ransomware, tetapi REvil jauh dari sebelumnya, dan kelompok lain terus menyerang tanpa hukuman. LockBit 2.0, misalnya, telah berkembang pesat, sebagaimana dibuktikan oleh profil LockBit 2.0 Herjavec Group dan daftar panjang korban LockBit 2.0.
Peluang Ransomware juga tumbuh dalam ketersediaan; Group-IB baru-baru ini menemukan bahwa 21 program afiliasi RaaS baru bermunculan selama setahun terakhir, dan jumlah situs kebocoran pemerasan ganda baru lebih dari dua kali lipat menjadi 28, kata laporan itu.
Dengan kata lain, tindakan ini mungkin hanya kemenangan kecil dalam pertempuran yang jauh lebih besar melawan ransomware. Namun REvil telah menjadi target simbolis yang penting dalam pertarungan – paling tidak karena potensi ikatannya dengan Colonial Pipeline – dan semakin menjadi sasaran bidik pemerintah di seluruh dunia.
Pada bulan Oktober, upaya penyamaran multi-negara menyebabkan server REvil untuk sementara dimatikan. Pada bulan November, Europol mengumumkan penangkapan total tujuh tersangka afiliasi ransomware REvil/GandCrab – termasuk seorang warga negara Ukraina yang didakwa oleh Amerika Serikat atas serangan ransomware yang mencakup serangan Kaseya. Negara lain juga telah menangkap afiliasi (penyerang siber acak yang menyewa infrastruktur REvil), yang tidak mempengaruhi geng utama; tetapi pada bulan Oktober, Jerman mengidentifikasi dugaan operator inti REvil, bersembunyi di Rusia dan jauh dari jangkauan ekstradisi.
Rusia, pada bagiannya, dapat memperoleh pujian untuk tindakan minggu ini, meskipun para peneliti telah lama mencatat bahwa negara itu telah menjadi negara yang aman. surga bagi dalang ransomware, yang menghindari menyerang target Rusia sebagai gantinya.
“Di Rusia, mereka benar-benar tidak takut ditangkap,” Jon DiMaggio, peneliti kelompok ancaman dan kepala strategi keamanan di Analyst1, baru-baru ini mengatakan, membahas kolektif cyber-underground mengangkat bahu pada berita November bahwa afiliasi REvil sedang rusak. “Mereka membuat komentar seperti, ‘lindungi ibu pertiwi, ibu pertiwi melindungi Anda’…Mereka menempatkan ikon bendera Rusia di pesan mereka.”
Mungkinkah itu berubah? Hanya waktu yang akan menjawab, kata para peneliti.
“Rusia yang bertindak atas laporan kejahatan dunia maya, terutama ransomware, sangat jarang terjadi,” John Bambenek, pemburu ancaman utama di Netenrich, mengatakan kepada Threatpost. “Kecuali melibatkan eksploitasi anak atau orang Chechnya, kerjasama dengan FSB tidak akan terjadi. Diragukan bahwa ini merupakan perubahan besar dalam sikap Rusia terhadap aktivitas kriminal di dalam perbatasan mereka (kecuali jika mereka menargetkan warga negara Rusia) dan lebih lagi bahwa posisi diplomatik mereka tidak dapat dipertahankan dan mereka perlu mengorbankan beberapa pengeluaran untuk menghentikan tekanan geopolitik yang lebih serius.”
He menambahkan, “Jika kali ini dalam tiga bulan tidak ada penangkapan besar lainnya, aman untuk mengasumsikan tidak ada perubahan nyata yang terjadi dengan pendekatan Rusia.” untuk AS, sambil mempertimbangkan bahwa penghapusannya akan berdampak kecil pada lanskap ransomware saat ini,” Morgan menambahkan.
Password Reset: Acara Sesuai Permintaan: Fortify 2022 dengan strategi keamanan sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iMalware